この情報化社会において情報は商材であり、守るべき財産でもあります。情報一つの取り扱いに関する問題のために、企業全体が傾いてもおかしくはないのです。そういった事態を招くことのないよう、色々なコンサルタントによる啓蒙活動や様々なソフトウェアなどを通じて、いわゆる「情報セキュリティ対策」が謳われていますが、情報セキュリティに関しては一部の部署に任せるのではなく、社員が一丸となって取り組まなければなりません。改めて「情報セキュリティ対策」を考える意義と、対策についておさらいしましょう。
情報化社会における大惨事を未然に防ぐために、企業のIT管理部門がどれだけ情報セキュリティについて対策を進めて、全社的にPCにウィルスソフトなどをインストールしようと、情報の漏洩やウィルスの感染、不正アクセスを完全に防ぐことはできないのが現実です。これはそういった、いわゆるITに詳しい人が用意してくれた防波堤に任せていればある程度安全であると、高をくくって情報資材と接し続ける社員一人ひとりに問題があるのです。
一見、ソフトウェアなどによって情報セキュリティは万全であるように感じられますが、実は情報漏洩の大半は外部からの不正アクセスなどによるものではなく、企業情報が入ったUSBメモリの紛失や、個人情報が記載されたメールの誤送信、ログインした状態でPCからしばらく目を離すといった、人的管理不備によるものなのです。管理側ではなく社員側に問題があると言ったのは、こういった情報の扱いに関するミスは、セキュリティプログラムの手が及ばないところで起きてしまうからです。
この自分たちの一挙手一投足次第で地雷を踏みかねないという風に意識を変えない以上、情報セキュリティに関する問題はその企業にずっと付きまとうことになります。社員全員が情報の取り扱い方法や、問題が起こりうる原因、最悪の場合起こりうるロスについて、研修などを通して知識を共有し、草の根的に意識を変えていかなければ情報セキュリティ対策を根付かせることはできません。
そこで実際に企業が情報セキュリティについて考える時には、それらの対策を種類と機能毎に分けることができます。
まず種類については、ファイアウォールやウィルス対策ソフトといったPCに直接介入して行う「技術的対策」、次にそのPCにアクセスすることを入退室管理やオートロックのような防犯対策などによって制限する「物理的対策」、そして最後にPCを扱う上でのルールや研修によって意識を高めるといった「人的対策」に分けられます。それらの種類はまたそれぞれ3つの機能別に分けることができます。
情報セキュリティ対策の機能については、そういった問題をまず未然に「防止」する機能、実際に問題が発生してしまった際に迅速にそのサインを見つけるための「検出」機能、そして発生してしまった問題を見つけた後に具体的にそのダメージを最小限に抑えるための「対応」機能の3つです。
例えば管理部門がウィルスソフトをインストールすることは「技術的対策」による「防止」策にあたり、社員の入退室を防犯カメラなどで監視できる体制を整えておくことは「物理的対策」による「検出」策にあたり、何かしら問題が起きたときに社員間の報連相体制を徹底することは「人的対策」による「対応」策にあたります。一般的に情報セキュリティ対策というと、未然に問題を防ごうとする「防止」面が注目されがちですが、検出・対応機能がそろってこそ初めて堅固な情報セキュリティ体制を整えられたことになり、今後同様の問題が起こらないようにすることができるのです。
当然ながら情報セキュリティがしっかりしていれば、情報漏洩や不正アクセスによる甚大な損害を未然に防ぐことが可能になります。実際に問題が起きると金銭的損害のみならず、会社の信用問題や社員の心理的な問題にも発展しかねないため、問題が発現するまでは地味ながらもそのセーフティネットとしての役割の大きさは途方もないものです。しかしその本来の役割以外にも、情報セキュリティ対策をしっかりすることによって企業が得られる恩恵、または損害もあるのです。
基本的にはどちらもコストに関わってくるのですが、まず徹底されたセキュリティ環境における一つの特徴は、情報、及びその情報を扱う機材の管理が徹底されることです。監視体制が強化されることで、不要になるアプリケーションや、使われなくなった端末などの余剰資産を浮き上がらせることができるようになり、それらを売却もしくは貸与することによって金銭的なプラスを生み出すことが可能です。
また常に状況が把握できるようにすることで、管理者のメンテナンスなどの作業負担を軽減し、工数の調整が可能にもなります。
一方で、堅固なセキュリティ体制を築き上げるのにはどうしても新規ソフトウェアの購入や設備投資といった、特に初期に大きくかかる出費が必要となります。その分、運営していくにあたっては先述したコスト削減などでカバーする必要が出てくるでしょう。また、監視体制が強化されることで最も懸念されるのが、細かな業務の妨害です。必要以上にセキュリティが厳しくなることで、一々許可の届け出が必要になったり、USBの使用が制限されたり、活動できる時間帯が狭められたり、これまでとは違うペースで業務を進めることを余儀なくされてしまう場合があります。これでは業務効率を大幅に犠牲にしてしまうだけでなく、社員にとってのストレスにもなりかねないため、状況を鑑みながらの新体制の導入が必須条件となります。
多くの企業において業務の大半がネットに繋がったPCの利用を伴うこの時代、あらゆる場面が意図しない形で情報問題に繋がる可能性を孕んでいます。だからこそ、社員一人ひとりがその危険性を認識し、安全な体制を敷いておくことが重要です。どれだけ注意しても、しすぎることはないのが情報セキュリティ対策なのです。
